martedì 24 novembre 2020
Spotify: 300.000 account hackerati con un attacco di credential stuffing
E' già capitato molte volte, nel corso degli ultimi anni: utenti Spotify riscontrano difficoltà di accesso ai propri account, password cambiate, comparsa e scomparsa di playlist, aggiunta di utenti da altri paesi negli account.
La nuova ondata di segnalazioni (ma non è stata affatto l'ultima) di questo tipo c'è stata questa estate, quando molteplici utenti hanno iniziato a segnare stranezze, malfunzionamenti, impossibilità di accedere ai propri account. C'è una (unica) causa scatenante?
Forse si: un nuovo report ha rivelato che i cybercriminali stanno attivamente utilizzando un database contenente oltre 380 milioni di record, comprese credenziali di login, per accedere agli account. Database che i ricercatori hanno individuato e acceduto poiché totalmente esposto e contenente informazioni non criptate.
L'attacco di "credential stuffing"
Uno degli attacchi comunemente utilizzati contro gli account è detto di "credential stuffing" e, stranamente, non prevede alcun particolare accorgimento: con un attacco di credential stuffing, semplicemente, un attaccante fa uso di grandi combinazioni di credenziali (utenti e password) già trapelate in precedenti violazioni di sicurezza. Molto spesso questa tecnica funziona perché i legittimi proprietari non sono a conoscenza della violazione del proprio account, ne tantomeno che i propri dati siano in vendita nel dark web in database contenenti i dati di altri migliaia di utenti. Insomma, l'unica fatica degli attaccanti in questo caso, è quella di entrare in possesso di questi database e accedere agli account online.
Il report del quale abbiamo accennato qualche riga fa è stato pubblicato qualche giorno fa da VPNMentor e dettaglia il ritrovamento di un database esposto online contenente oltre 380 milioni di username e password usate attivamente in attacchi di credential stuffing contro Spotify.
Ogni record contiene un nome di login (solitamente l'indirizzo email), una password e perfino se le credenziali siano effettivamente in grado di eseguire login con successo nel relativo account.
Ovviamente l'origine di questo specifico database non è nota ma, in generale, questi dati sono ottenuti tramite data breach o estese "collections" solitamente diffuse da altri cyber attaccanti gratuitamente o a pagamento. Secondo i ricercatori che hanno analizzato il database, questo consente l'accesso ad un numero di account Spotify che oscilla tra i 300.00 e i 350.000.
VPMMentor ha contattato Spotify per ragguagliare l'azienda sul problema nel Luglio 2020: Spotify ha immediatamente risposto avviando un cosiddetto "rolling reset" delle password di tutti gli account riguardati dal problema. Il risultato è che gran parte delle informazioni contenute in quel database sono ormai obsolete e inutili.
A onore del vero, e per sgravare Spotify di colpe che non gli spettano, il database esposto non è stato composto con dati violati da Spotify stesso, ma da altri attacchi collaterali: insomma, l'origine di tali dati è sconosciuta. A Spotify si può solo imputare una mancanza: infatti non supporta l'autenticazione multi fattore che, in un caso simile, avrebbe potuto impedire l'accesso da parte di terzi non autorizzati su una parte consistente degli account hackerati.
Per gli utenti Spotify è consigliabile procedere ad un cambio password se, negli ultimi mesi, si sono verificati strani malfunzionamenti. Consigliamo anche il servizio https://haveibeenpwned.com/, dove è possibile verificare se il proprio indirizzo email risulti in database esposti o venduti nel dark web.